Es gibt einen Blumenstrauß an Möglichkeiten, heutigen IT-Schwachstellen zu begegnen. Dabei limitieren die Ressourcen Zeit und das Budget für die Infrastruktur, die jeweiligen Möglichkeiten. Wichtig ist es deshalb, die verfügbaren Ressourcen priorisiert einzusetzen.
Gängige Überprüfungs-Mechanismen
Um aktuelle Schwachstellen im Unternehmen zu erkennen, gibt es verschiedene Möglichkeiten.
Schwachstellenscan
Der Schwachstellenscan ermöglicht es, die aktuelle Infrastruktur automatisiert auf Schwachstellen zu prüfen. Dabei werden Sicherheitslücken, fehlende Patches, schwache Passwörter oder Fehlkonfigurationen in der Infrastruktur detektiert. Erklärte Zielsetzung dabei ist es, Schwachstellen regelmäßig zeitnah zu finden und priorisiert zu beheben.
Penetrationstest
Anders als beim Schwachstellenscan geht nicht die Software automatisiert auf Schwachstellensuche, sondern speziell ausgebildete Techniker. Dabei geht es darum, die Komplexität der Infrastruktur zu erfassen und somit auch komplexere Schwachstellen zu entdecken, die ein Schwachstellenscan allein ggfs. nicht aufspürt. Über diese Überprüfung fallen beispielsweise Logik-Fehler in der Implementierung oder Probleme bzgl. organisatorischer Regelungen auf.
Der Penetrationstest gibt dabei auch die Möglichkeit, bestimmte Infrastruktur-Komponenten genauer zu betrachten, um mit dem Kunden vorab definierte Ziele auf ihre Widerstandsfähigkeit zu überprüfen.
Die Zielsetzung dabei ist, komplexe Schwachstellen zu erkennen, die bei automatisierten Scans nicht gefunden werden und das Zusammenspiel von Mensch und Technik als ganzes zu betrachten.
Red Teaming
Red Teaming beschreibt eine Assessment-Art bei der das Red Team aktuelle Angriffstechniken nutzt, um definierte Ziele in der IT-Infrastruktur zu erreichen. Diesen Bemühungen steht das Blue Team entgegen, welches als Verteidigungsteam Eindringlinge detektieren soll und auf Angriffe entsprechend reagiert.
Das Ziel dieser Team-Arbeit ist es, die beiden Perspektiven Angriff und Verteidigung zusammen zu bringen und neue Angriffswege in die Infrastruktur nicht nur zu erkennen, sondern die abgeleiteten Schwachstellen direkt zu schließen. Schwerpunkt des Assesments ist es in der Regel, die Verteidiger in ihrer Rolle des Blue Teams zu trainieren.
Threat Modeling
In der Modellierung von Bedrohungen geht es darum, die beiden Einflussgrößen Angriffsvektoren und Verteidigungsmaßnahmen innerhalb der aktuellen oder geplanten Infrastruktur zu überprüfen. Dabei wird von der zu untersuchenden Infrastruktur ein digitaler Zwilling erstellt, welcher die Zusammenhänge und die Verteidigungs-Mechanismen beinhaltet. Diese Blaupause bildet die Grundlage potenzielle Angriffswege abzuleiten. Über diesen ganzheitlichen Ansatz lassen sich aktuelle Angriffswege detektieren, Schwachstellen ableiten und priorisieren und Verbesserungsmaßnahmen vor Umsetzung planen. Diese Überlegung wird zusätzlich mit Hilfe eines Messwerts ergänzt, welcher erlaubt, die Widerstandsfähigkeit von IT-Infrastrukturen zu quantifizieren.
Die Zielsetzung dieser Methode ist die Widerstandsfähigkeit der Infrastruktur abzuleiten, ohne die tatsächliche Umgebung zu gefährden. Dabei erhält die IT-Security Abteilung wertvolle Informationen zum aktuellen Resilienz-Status sowie Informationen darüber, welche Wege für Angreifer potentiell interessant sind. Auf Management-Ebene lässt sich anhand der Quantifizierbarkeit des aktuellen IT-Sicherheitsniveaus beschreiben, wie gut der IST-Zustand ist und welche Auswirkungen die Beseitigung der gefundenen Schwachstellen auf den aktuellen IST-Zustand hat.
Skalierung
Obige Ansätze zeigen nicht nur wie vielfältig die IT-Sicherheit mit neuen Informationen gestärkt werden kann, sondern auch, dass es verschiedene Ansätze unterschiedlicher Dauer gibt. Hilfreich ist es deshalb die aktuelle Infrastruktur in Segmente zu unterteilen und zu priorisieren, um ein effizientes Schwachstellen-Management zu etablieren.